Des pirates abusent de Google Adwords, la plateforme publicitaire du géant des moteurs de recherche, pour diffuser des logiciels malveillants à des personnes à la recherche de logiciels légitimes et populaires.
Les mesures de sécurité de Google sont généralement robustes, mais les experts ont constaté qu’ils ont réussi à employer une solution de contournement.
La campagne est simple : les escrocs clonaient des logiciels populaires tels que Grammarly, MSI Afterburner, Slack ou autres, et les infectaient avec un voleur d’informations. Dans ce cas, les attaquants ajoutaient Raccoon Stealer et IceID malware loader. Ensuite, ils créaient une page de destination où les victimes étaient envoyées pour télécharger les programmes malveillants. Ces pages étaient conçues pour sembler identiques aux pages légitimes.
Tromper Google
Ensuite, ils créent une annonce et la placent sur Google Adwords. Ainsi, chaque fois qu’une personne recherche ces programmes ou d’autres mots clés pertinents, elle voit les annonces à différents endroits (y compris les premières positions de la page de résultats du moteur de recherche Google).
L’astuce est que l’algorithme de Google est relativement bon pour repérer les pages de destination malveillantes hébergeant des logiciels dangereux. Pour contourner les mesures de sécurité, les attaquants créent également une page de renvoi inoffensive vers laquelle l’annonce renvoie les visiteurs.
Cette page de renvoi redirige alors immédiatement les victimes vers la page malveillante.
Les campagnes de cyberattaques qui exploitent des logiciels légitimes pour distribuer des logiciels malveillants ne sont pas nouvelles, mais les chercheurs sont restés dans l’ombre lorsqu’il s’est agi de trouver des méthodes pour amener les gens sur les pages de destination. Fin octobre, les chercheurs ont découvert une campagne majeure avec plus de 200 domaines frauduleux, mais jusqu’à aujourd’hui, personne ne savait comment les domaines étaient annoncés.
Maintenant que le complot a été découvert, on peut s’attendre à ce que Google mette rapidement fin à la campagne (si ce n’est déjà fait).
Outre les applications susmentionnées, les escrocs se faisaient également passer pour les programmes suivants : Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird et Brave.